Ajouter des conditions avancées aux règles d’automatisation de Microsoft Sentinel

Cet article explique comment ajouter des conditions avancées à des règles d’automatisation dans Microsoft Sentinel pour un tri plus efficace des incidents.

Ajoutez des conditions « Or » sous la forme de groupes de conditions dans la section Conditions de votre règle d’automatisation.

Les groupes de conditions peuvent contenir deux niveaux de conditions :

  • Simple : Au moins deux conditions, chacune séparée par un opérateur OR :

  • Composé : Plus de deux conditions, avec au moins deux conditions sur au moins un côté d’un opérateur OR :

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • Et ainsi de suite.

Vous pouvez voir que cette fonctionnalité vous offre une grande puissance et une grande flexibilité pour déterminer quand les règles s’exécutent. Elle peut également augmenter considérablement votre efficacité en vous permettant de combiner de nombreuses anciennes règles d’automatisation en une nouvelle règle.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Ajouter un groupe de conditions

Étant donné que les groupes de conditions offrent beaucoup plus de puissance et de flexibilité dans la création de règles d’automatisation, la meilleure façon d’expliquer comment procéder est de présenter quelques exemples.

Créons une règle qui modifiera la gravité d’un incident entrant de sa valeur actuelle à Élevée, en supposant que l’incident répond aux conditions que nous allons définir.

  1. Pour Microsoft Sentinel, dans le portail Microsoft Azure, sélectionnez la page Configuration>Automation. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Automation.

  2. Dans la page Automatisation, sélectionnez Créer > Règle d’automatisation dans la barre de boutons en haut.

    Pour plus d’informations, consultez les instructions générales relatives à la création d’une règle d’automatisation.

  3. Donnez un nom à la règle : « Triage : Modifier la gravité en Élevée »

  4. Sélectionnez le déclencheur Lors de la création de l’incident.

  5. Sous Conditions, si vous voyez les conditions fournisseur d’incident et nom de règle d’analyse, laissez-les inchangées. Ces conditions ne sont pas disponibles si votre espace de travail est intégré à la plateforme d’opérations de sécurité unifiée. Dans les deux cas, nous allons ajouter d’autres conditions plus loin dans ce processus.

  6. Sous Actions, sélectionnez Modifier la gravité dans la liste déroulante.

  7. Sélectionnez Élevée dans la liste déroulante qui s’affiche sous Modifier la gravité.

Par exemple, les onglets suivants affichent des exemples d’un espace de travail intégré à la plateforme d’opérations de sécurité unifiée, dans les portails Microsoft Azure ou Defender et un espace de travail qui n’est pas :

Exemple 1 : Conditions simples

Dans ce premier exemple, nous allons créer un groupe de conditions simple : si la condition A ou la condition B est vraie, la règle s’exécute, et la gravité de l’incident est définie sur Élevée.

  1. Sélectionnez le bouton déroulant + Ajouter et choisissez Groupe de conditions (Ou) dans la liste déroulante.

    Capture d’écran de l’ajout d’un groupe de conditions à l’ensemble de conditions d’une règle d’automatisation.

  2. Notez que deux ensembles de champs de condition sont affichés, séparés par un opérateur OR. Il s’agit des conditions « A » et « B » mentionnées ci-dessus : si A ou B est vrai, la règle s’exécute.
    (Ne laissez pas les différentes couches des liens « Ajouter » vous perturber : nous les expliquerons plus tard.)

    Capture d’écran des champs vides du groupe de conditions.

  3. Nous allons décider quelles seront ces conditions. Autrement dit, quelles sont les deux conditions différentes qui entraînent la modification de la gravité de l’incident en Élevée ? Suggérons ce qui suit :

    • Si les tactiques MITRE ATT&CK à l’incident incluent l’une des quatre que nous avons sélectionnées dans la liste déroulante (voir l’image ci-dessous), la gravité doit être passée à Élevée.

    • Si l’incident contient une entité de Nom d’hôte nommée « SUPER_SECURE_STATION », la gravité doit être passée à Élevée.

    Capture d’écran de l’ajout de conditions OR simples à une règle d’automatisation.

    Tant qu’au moins une de ces conditions est vraie, les actions que nous définissons dans la règle s’exécutent, modifiant la gravité de l’incident en Élevée.

Exemple 1A : Ajouter une valeur OR dans une seule condition

Supposons que nous n’avons pas une, mais deux stations de travail super sensibles dont nous voulons rendre la gravité élevée. Nous pouvons ajouter une autre valeur à une condition existante (pour toutes les conditions basées sur les propriétés d’entité) en sélectionnant l’icône de dés à droite de la valeur existante et en ajoutant la nouvelle valeur ci-dessous.

Capture d’écran de l’ajout de plusieurs valeurs à une seule condition.

Exemple 1B : Ajouter d’autres conditions OR

Supposons que nous voulons que cette règle s’exécute si l’une des trois conditions (ou plus) est vraie. Si A ou B ou C est vrai, la règle s’exécute.

  1. Vous vous souvenez de tous ces liens « Ajouter » ? Pour ajouter une autre condition OR, sélectionnez le bouton + Ajouter connecté par une ligne à l’opérateur OR.

    Capture d’écran de l’ajout d’une autre condition OR à une règle d’automatisation.

  2. À présent, renseignez les paramètres et les valeurs de cette condition de la même façon que pour les deux premières.

    Capture d’écran de l’ajout terminé d’une autre condition OR à une règle d’automatisation.

Exemple 2 : Conditions composées

Maintenant, nous décidons que nous serons un peu plus pointilleux. Nous voulons ajouter d’autres conditions de chaque côté de notre condition OR d’origine. Autrement dit, nous voulons que la règle s’exécute si A et B sont vrais, OU si C et D sont vrais.

  1. Pour ajouter une condition à un côté d’un groupe de conditions OR, sélectionnez le lien + Ajouter immédiatement sous la condition existante, sur le même côté de l’opérateur OR (dans la même zone ombrée en bleu) auquel vous souhaitez ajouter la nouvelle condition.

    Capture d’écran de l’ajout d’une autre condition composée à une règle d’automatisation.

    Vous allez voir une nouvelle ligne ajoutée sous la condition existante (dans la même zone bleue), liée à celle-ci par un opérateur AND.

    Capture d’écran de la ligne vide de nouvelle condition dans les règles d’automatisation.

  2. Renseignez les paramètres et les valeurs de cette condition de la même façon que pour les autres.

    Capture d’écran des nouveaux champs de condition à remplir pour les ajouter aux règles d’automatisation.

  3. Répétez les deux étapes précédentes pour ajouter une condition AND à l’un ou l’autre côté du groupe de conditions OR.

    Capture d’écran de l’ajout de plusieurs conditions composées à une règle d’automatisation.

Et voilà ! Vous pouvez utiliser ce que vous avez appris ici pour ajouter d’autres conditions et groupes de conditions, en utilisant différentes combinaisons d’opérateurs AND et OR, afin de créer des règles d’automatisation puissantes, flexibles et efficaces pour vraiment aider votre centre des opérations de sécurité à travailler sans problème et réduire vos temps de réponse et de résolution.

Étapes suivantes

Dans ce document, vous avez appris à ajouter des groupes de conditions à l’aide d’opérateurs OR à des règles d’automatisation.